The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю"  +/
Сообщение от opennews (?), 03-Май-24, 23:22 
В JavaScript-библиотеке xml-crypto, используемой в качестве зависимости у 402 проектов и загружаемой из каталога NPM около миллиона раз каждую неделю, выявлена уязвимость (CVE-2024-32962), которой присвоен максимальный уровень опасности (10 из 10). Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов. Уязвимость даёт возможность атакующему заверить фиктивный документ, который в конфигурации по умолчанию будет успешно верифицирован библиотекой, несмотря на то, что он подписан не тем ключом, что указан для проверки подписей. Проблема проявляется начина с версии  xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61112

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +1 +/
Сообщение от penetrator (?), 03-Май-24, 23:22 
ай хорошо, молодцы малпы, показательно
Ответить | Правка | Наверх | Cообщить модератору

2. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +/
Сообщение от Герострат (?), 03-Май-24, 23:25 
Миллион дыр в неделю, только вдумайтесь
Ответить | Правка | Наверх | Cообщить модератору

21. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +/
Сообщение от кент кента (?), 04-Май-24, 21:23 
>Миллион дыр в неделю

нет, миллион коммитов в корявых CI, которые выкачивают каждый раз эту нишевую либу по-новой.

не думаю, что на планете много проектов где на жабоскрипте проверяют подписи в XMLях

Ответить | Правка | Наверх | Cообщить модератору

3. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  –5 +/
Сообщение от Аноним (3), 03-Май-24, 23:49 
> Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0.

Плюсовики не отстают https://github.com/PowerDNS/pdns/issues/12234

Тихонько прикрыли гигадырень, и решили не упоминать об этом в release notes https://doc.powerdns.com/authoritative/changelog/4.9.html

Ответить | Правка | Наверх | Cообщить модератору

6. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +/
Сообщение от Аноним (6), 04-Май-24, 00:47 
Все ругали это в C и C++, но видимо скоро вернемся к тому от чего ушли - к подключению зависимостей папочками в проекте. Иначе проблема безопасности публичных репозиториев по-видимому не решаема.
Ответить | Правка | Наверх | Cообщить модератору

8. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +6 +/
Сообщение от Аноним (3), 04-Май-24, 01:41 
Простите, и как бы это помогло от уязвимости в описываемом случае?

Скорее наоборот, остались бы несколько сотен проектов, авторам которых было недосуг скачивать версию с прикрытой дырой себе в папочку™.

Ответить | Правка | Наверх | Cообщить модератору

12. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +1 +/
Сообщение от Прадед (?), 04-Май-24, 02:50 
А она и не решаема. Неужели ли непонятно, что каждая зависимость это даже не то чтобы дыра, там лишь бы оно вообще работало. Безопасность там вообще аут оф скоуп. Это вообще отдельный жанр.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

9. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  –1 +/
Сообщение от анонка (?), 04-Май-24, 01:46 
Судя по коммиту, там даже и не сразу поняли, что это уязвимость). Коммит отправлен в январе, а отчёт о дыре отправлен пару дней назад.
Там и переменные называются максимально похоже, подозреваю, что автор просто перепутал. Хотя там тесты есть и они вроде как работали. ЧТо тестировали тогда?
Ответить | Правка | Наверх | Cообщить модератору

11. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  –1 +/
Сообщение от Аноним (11), 04-Май-24, 02:34 
>Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов.

Лишь бы gpg/ssh не использовать.

Ответить | Правка | Наверх | Cообщить модератору

15. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +1 +/
Сообщение от vitalif (ok), 04-Май-24, 09:51 
Багофича ) для выявления тех, кто код не тестирует ))) и тех, кто тестирует только успешную валидацию, а неуспешную не проверяет))
Ответить | Правка | Наверх | Cообщить модератору

17. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +/
Сообщение от Аноним (17), 04-Май-24, 10:29 
Если код компилируется значит работает (tm)
Ответить | Правка | Наверх | Cообщить модератору

18. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +/
Сообщение от Аноним (17), 04-Май-24, 10:31 
Т.е. по мнению сообщество xz это злонамеренный троян. А тут просто чудовищная ошибка? И у этой ошибки нет ни имени ни адреса? И вообще никто не виноват.
Ответить | Правка | Наверх | Cообщить модератору

20. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +/
Сообщение от Аноним (20), 04-Май-24, 11:22 
Сравнение с xz было б более уместно, если здесь тоже был удаленный доступ к системе или похожее.
Ответить | Правка | Наверх | Cообщить модератору

19. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +1 +/
Сообщение от Lui Kang (?), 04-Май-24, 10:52 
> Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0.

Хорошо, хоть только сейчас огласили, выждали время.

А разработчики, проектные менеджеры и руководство компаний часто пренебрегает обновлениями компонентов. А это нужно делать регулярно.

Ответить | Правка | Наверх | Cообщить модератору

22. "Обход верификации в библиотеке xml-crypto, насчитывающей мил..."  +/
Сообщение от YetAnotherOnanym (ok), 05-Май-24, 15:11 
> загружаемой из каталога NPM

Пишите заголовки правильно - не "в библиотеке xml-crypto", а "в javascript-библиотеке xml-crypto", чтобы сразу было понятно, из-под какой коровы удобрение.
И чтоб два раза не вставать - вот это умиляет (https://www.npmjs.com/package/xml-crypto):
> A pre requisite it to have openssl installed and its /bin to be on the system path

Ну, то есть, вы поняли - оно не либу дёргает за API, а бинарник запускает.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру